2017年10月,美国的《主动网络防御确定法案》(Active Cyber Defense Certainty Act)正式进入立法程序。
主动防御在管理和法律层面的争议已经持续多年,特别是启动后将引发的不可预测性的内外部后果,值得深入分析和研究。同时,对其进行分析有助于探究美国立法层面主动防御构想的多重场景,了解美国政府立法、执法层面在主动防御上的理念、意图和行动路线。
这里特邀RoarPanda网络的安全情报首席分析官Slimming Panda就此议题发表了相应观点。
网络空间斗争与博弈愈演愈烈,在关注威胁趋势与技术走向的同时,从战略视角分析安全形势显得尤为必要。以2017年10月进入美国立法程序的《主动网络防御确定法案》(Active Cyber Defense Certainty Act)来看,其涉及的ActiveCyber Defense可以被视为美国继续保持网络空间优势地位的途径之一,虽然目前仍处在act阶段,距离law还有一段距离,但如果其上升为美国法律,将显著将加剧网络空间的不对称性、复杂性和不确定性,并影响全球网络空间格局。
0X01 草案的性质
2017年10月,由美国国会众议员Graves提出并草拟的《主动网络防御确定法案》(ACDC)正式提交众议院司法委员会审议,进入立法程序。该法案允许被黑客攻击的企业和个人用黑客手段“怼回去”,因此被网络界称为“反黑”(Hackback)议案。
0X0101 提出背景
该草案最早于2017年3月提出,其出发点是填补公共执法的缺位,帮助美国企业寻求“自救”。
美众议员Graves认为,当前的网络防御手段无法有效阻止黑客攻击,难以形成足够的威慑与打击,并且网络攻击的特性决定了执法部门很难对其溯源,导致许多企业遭受攻击或蒙受损失后,无法通过法律途径获得赔偿。
正是在这样的背景下,Graves提出该法案,希望对美国《计算机欺诈与滥用法》(CFAA)进行修订。CFAA禁止个人使用除防病毒软件等被动防御措施之外的防御行动。ACDC则主张允许网络攻击受害者在遭受攻击时能够反击。
0X0101 关键词
ACT(法案):美国的立法程序大致可分为四个阶段:1)提出草案;2)辩论、修改草案;3)两院协调;4)总统签署。
第一阶段由议员提出的草案即为议案bill,美国国会议员通常每年都会提出很多议案,但不代表都能通过。议案一旦在本院通过就成了法案(act),还需提交另一院审议,如果存在意见冲突,需经两院协调并表决通过,总统签字后才能成为法律(law)。
2017年10月,该议案正式提交众议院司法委员会审议,11月1日交由司法委员会下设的犯罪、恐怖主义、国土安全与调查小组委员会审议,从目前看要想获得两院一致通过的道路仍困难重重。
Certainty(确定性)。法律的确定性是指,人们可以根据明确的法律条文有效预知某一诉讼过程的法律后果,从而制定计划、提出建议或判断自己的行为是否合法。简单来讲,这里的“确定性”主要是为美国企业或个人采取主动防御措施“开绿灯”。
active cyber defense(主动网络防御)。网络空间“主动防御”的概念最早是由美国伊利诺斯大学技术与法律问题专家杰·克森提出的,主要包括:探测干扰,追踪攻击来源和发起反击(包括报复式反击和缓和式反击)。
美国国家安全战略和美军网络空间条令已经明确将主动防御确定为网络空间三大职能使命之一。鉴于网络空间行动的不可预测性,目前,美国政府和军方的主动防御和进攻式网络空间行动均是由专门机构统一指挥实施的,分别是美国国土安全部和美国网络空间司令部。该议案其实是主张将“主动防御”放权给企业和个人。
0X02 草案的争议性
1、概念模糊。议案指出,“主动网络防御技术只能由合格的防御者使用”,但是何为“合格的防御者”却未能界定清楚。
2、归因难度大。网络攻击的溯源本身难度就非常大,企业或个人利用工具得到的归因信息难以判断真实性,特别是鉴于黑客攻击惯用的伪装手段,很可能导致第三方蒙受牵连。据此发动的“反黑”容易带来外交和军事层面的级联效应。
3、如何避免伤及无辜。如果黑客黑的是某个共享的服务器,受攻击的组织进行反击,势必会影响使用共享服务器的其他公司。
美国网络空间司令部司令罗杰斯在国会作证时明确表达了对该法案的质疑态度,他认为,这就等同于让更多的神枪手在西大荒(拓荒时期的美国西部)的大街上“各自为战”,会带来一系列问题。
0X03 影响分析
一是active cyber defense(主动网络防御)是有意识的模糊攻防边界。
主动防御其实是进攻式防御,或者说就是进攻。既是技术,也是战略。本质是帮助美国模糊攻防边界,服务其具体军事和政治要求。
二是法案将推动美国在占领网络空间资源制高点的同时,仍想占领道德制高点。
美国是网络空间名副其实的超级大国,但随着斯诺登、维基解密等一系列事件的爆发,其网络空间道德制高点逐步沦丧,从法案将原本属于军政的行动赋予企业,能够看出其希望一步步夺回网络空间道德制高点的企图。
三是法案将加剧网络空间的不对称性、复杂性和不确定性。
如前所述,法案在一些概念上过于模糊,在归因溯源方面本身也缺乏可操作性,因此将加剧美国和其他国家在网络空间博弈能力的不对称性和复杂性。
近年来一些企业届大佬纷纷呼吁要建立网络空间的《日内瓦公约》,目的是保障网民和公司不受政府在网络空间中行动的伤害。希望政府在开展相关网络行动时,不要伤害互联网企业和普通用户的利益。该法案显然与这些倡议背道而驰,因为无论是报复式或是缓和式反击,如果放权给企业或个人,都将引起更大的不确定性。
据此,Slimming Panda认为:美国的《主动网络防御确定法案》一旦通过,将进一步加剧网络空间的不对称性、复杂性和不确定性。
声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。